01+28129[1]

L’agenzia di Sicurezza Nazionale U.S.A e Microsoft propongono l’approccio Zero Trust per la cybersecurity

lunedì 1 marzo 2021
L’agenzia di Sicurezza Nazionale U.S.A e Microsoft propongono l’approccio Zero Trust per la cybersecurity

L’NSA statunitense e Microsoft sostengono il modello di sicurezza Zero Trust come il modo più efficiente per le aziende di difendersi dalle cyber minacce sempre più complesse di oggi. Il concetto non è nuovo e ruota attorno al presupposto che un intruso potrebbe già essere presente nella tua rete: ne consegue che i dispositivi e le connessioni non dovrebbero essere mai considerati attendibili in modo implicito e, di conseguenza, è necessario verificarne sempre la sicurezza e l’autenticità.

Questo modello deve i natali a a John Kindervag che ha coniato il termine Zero Trust nel 2010: in realtà si inizia a parlare di modello Zero Trust, anche se con altro nome, già negli anni 2000, ma il salto avviene nel 2009 quando Google ha implementato internamente il modello di sicurezza Zero Trust. Poi il dibattito è, ovviamente, ritornato molto vivo sulla scia del ormai famoso e infausto attacco alla supply-chain di SolarWinds, in conseguenza del quale si è riaccesa la discussione sui benefici di una architettura di sicurezza Zero Trust per reti sensibili.

Il Presidente di Microsoft Brad Smith ha sostenuto il modello Zero Trust addirittura nel corso dell’udienza che ha sostenuto presso il Senato degli Stati Uniti in relazione all’attacco SolarWind, ribadendo come tale concetto rappresenti il miglior approccio possibile per una organizzazione o per un ente al fine di garantire la sicurezza delle proprie reti.

“Le migliori e più basilari pratiche di sicurezza e igiene informatica non erano purtroppo utilizzate con la regolarità e disciplina che ci aspetteremmo da clienti di alto profilo come le agenzie di sicurezza. Nella maggior parte dei casi non erano presenti né l’autenticazione a più fattori né la modulazione dei privilegi di accesso secondo necessità né altri meccanismi che sono requisiti fondamentali per costruire un ambiente Zero Trust. Eppure la nostra esperienza e i nostri dati suggeriscono senza dubbio che se tali misure fossero state in atto, gli aggressori avrebbero avuto soltanto un limitato impatto rispetto alla compromissione di dati preziosi, anche dopo aver ottenuto l’accesso agli ambienti di lavoro dell’agenzia” ha dichiarato Smith.

Insomma, pare proprio che l’attacco SolarWind abbia scosso le acque in profondità e adesso sia Microsoft che l’NSA raccomandano il modello di sicurezza Zero Trust per reti critiche (sistemi di sicurezza nazionale, dipartimento della difesa ecc…) e grandi imprese.

Zero Trust è un progetto a lungo termine
I principi guida di questo modello sono la costante verifica dell’autenticazione e autorizzazione degli utenti, l’accesso con privilegi minimi e l’accesso segmentato secondo rete, utente, dispositivo e app.
Clicca sull’immagine per ingrandirla. Fonte: Microsoft.com

Il diagramma sopra mostra la sicurezza Zero Trust secondo Microsoft, che vede al centro la verifica in tempo reale dell’applicazione delle policy di sicurezza. Nel modello, l’accesso a dati, app, infrastruttura e reti è concesso solo dopo aver verificato e autenticato l’identità e riscontrata la sicurezza dei dispositivi. Comprendere e verificare come gli utenti, i processi, i dispositivi si relazionano coi dati è lo scopo fondamentale di Zero Trust, ha dichiarato anche l’NSA.

Ecco che si rendono necessarie più unità di osservazione che garantiscano la possibilità di fare un accurato quadro delle attività sulla rete, valutarne la legittimità e quindi prevenire eventuali movimenti laterali che un cyber attaccante potrebbe tentare per diffondersi lungo la rete target. Tali verifiche sono possibili grazie a combinazioni dei dati dell’utente e dei dispositivi con una serie di informazioni rilevanti dal punto di vista della sicurezza, quali ad esempio l’orario, la posizione, il comportamento mostrato… Tramite questi dati si può impostare un sistema sicuro capace di consentire o negare l’accesso a specifiche risorse a determinati utenti. La decisione viene quindi registrata in modo tale da poter essere riutilizzata anche in future analisi di attività sospette. L’intero processo di verifica va applicato ad ogni singola richiesta di accesso ad una risorsa aziendale, se si vuole che il modello sia coerente al suo interno e capace quindi, di garantire sicurezza.

“Zero Trust è un modello che implementa un monitoraggio completo della sicurezza: dai controlli di accesso granulari basati sul rischio all’automazione del sistema di sicurezza in maniera coordinata attraverso tutti gli aspetti dell’infrastruttura: tutto si concentra sulla protezione delle risorse critiche (i dati) in tempo reale entro un ambiente di rischio dinamico”, prosegue il documento dell’NSA.

Già da queste brevi righe introduttive si capisce come costruire un ambiente Zero Trust sia una attività di lungo periodo. La buona notizia è che tale transizione può essere incrementale e riduce in ogni caso il rischio ad ogni nuovo passo, garantendo una vera e propria impennata della visibilità sulla rete e una migliorata capacità di risposta automatica nel tempo.
Fonte: National Security Agency

ZeroTrust: i benefici per la rete
L’NSA, nel suo documento ha fornito tre diversi esempi, basati su incidenti di cyber sicurezza realmente accaduti, dei vantaggi che un approccio Zero Trust può portare alla sicurezza degli asset aziendali: esempi che mostrano come l’attacco avrebbe potuto essere respinto se fosse stato attivo un modello Zero Trust.

Nel primo esempio, l’attaccante ha avuto accesso alla rete bersaglio da un dispositivo non autorizzato usando credenziali legittime rubate ad un dipendente con un livello di autenticazione sufficiente in un ambiente di sicurezza tradizionale. Nel secondo esempio la minaccia è interna oppure derivante da un attore che ha compromesso il dispositivo di un utente tramite exploit inviato tramite connessione dati mobile. In questo caso, nell’ambiente tradizionale, l’attore può enumerare i dispositivi in rete, aumentare i privilegi concessi e spostarsi lateralmente lungo la rete per trovare altri sistemi da attaccare o per ottenere la persistenza.

Nel terzo esempio l’NSA disegna un tipico attacco alla supply-chain nella quale l’attore aggiunge codice dannoso ad un “popolare dispositivo o applicazione di rete aziendale” che l’azienda mantiene e aggiorna regolarmente seguendo le best practices di cyber security. In un ambiente Zero Trust il dispositivo o l’app compromessa non sarebbero in grado di comunicare con l’attaccante perchè questo non sarebbe considerato attendibile per impostazione predefinita.

“I suoi privilegi di accesso ai dati sarebbero strettamente controllati, ridotti al minimo e monitorati; la segmentazione sarebbe rafforzata dalle policy; l’analisi verrebbe utilizzata per monitorare le attività anomale. Inoltre, anche nel caso in cui il dispositivo possa scaricare aggiornamenti per applicazioni firmate (dannose o meno), le connessioni di rete consentite ad un dispositivo in un modello Zero Day vedrebbero applicate policy di sicurezza basate sulla negazione degli accessi per impostazione predefinita: qualsiasi tentativo di connettersi ad indirizzi remoti per dialogare con un eventuale server C&C verrebbero molto probabilmente bloccati” conclude l’NSA.
Fonte: National Security Agency

Certo, i problemi sono molti, primo tra tutti la resistenza interna alle organizzazioni rispetto a cambiamenti di questo tipo, derivanti dalla riprogettazione completa del modello esistente verso quello Zero Trust. Utenti, amministratori, il management stesso dovrebbero, per prima cosa, adottare la stessa mentalità perchè lo Zero Trust possa funzionare. Si prospetta l’ennesimo, lungo, periodo di transizione per la cybersecurity: un cambiamento totale di modello e di approccio, ma che si rende ormai inevitabile data la sempre crescente complessità e capacità del cybercrime.

01[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 26/02

venerdì 5 marzo 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 26/02
La scorsa settimana il CERT-AgID ha individuato e analizzato circa 30 campagne dannose attive in Italia: 2 di queste erano generiche ma veicolate anche nello spazio italiano, 28 invece miravano ad obiettivi italiani. Ben 305 sono stati gli indicatori di compromissione individuati (IoC).

I malware individuati in diffusione appartengono a 9 diverse famiglie malware. Ecco la panoramica:

AgentTesla è stato il malware più diffuso, veicolato in 3 diverse campagne, due a tema Pagamenti e uno a tema Delivery. Gli allegati utilizzati per veicolare il malware sono stati di tipo .ACE, archivio .ZIP e file docuemnto .RTF;
ASTesla è stato diffuso con una campagna a tema pagamenti e allegato di tipo .ACE;
NanoCore è stato veicolato con una campagna generica che ha coinvolto anche l’Italia. La campagna email è stata a tema Pagamenti con allegato .ISO;
TrickBot è stato veicolato con campagna generica, tema Delivery. L’allegato utilizzato era un file .xls contenente la macro dannosa;
Qakbot invece è stato diffuso con una campagna mirata contro utenti italiani a tema “Documenti”: l’allegato utilizzato era il formato archivio .ZIP;
Urnsif invece è stato diffuso con una campagna mirata contro utenti italiani a tema Conferma. L’allegato utilizzato era in formato .XLS. La campagna è durata un solo giorno, con costanti cambiamenti sia dell’allegato che del server di comando e controllo;
Lokibot è stato in diffusione con una campagna a tema Università che ha sfruttato i loghi dell’Università La Sapienza di Roma. L’allegato utilizzato per la diffusione del malware era un archivio .ZIP;
FormBook, con una campagna mirata contro utenti italiani a tema Pagamenti, ha visto l’uso di allegati .IMG;
Remcos è stato diffuso con una campagna mirata contro l’Italia a tema Pagamenti e con allegato un archivio .RAR.

Nanocore in breve…
NanoCore è stato individuato per la prima volta nel 2013, in vendita nei forum di hacking del dark web. E’ un trojan di accesso remoto (RAT), ma ha anche una varietà di funzionalità: funziona come keylogger e password stealer e invia ai propri operatori password e dati utili che riesce a esfiltrare dal sistema infetto. Può anche scaricare altri file dannosi, bloccare lo schermo, rubare file ecc..

Le campagne di phishing della settimana 26/02
I brand coinvolti nelle campagne di phishing analizzate sono stati 13: di nuovo il settore più colpito è quello bancario, IntesaSanPaolo, Poste e Unicredit i brand più sfruttati:

IntesaSanPaolo è stata sfruttata con 4 campagne mirate a tema Banking e si conferma il brand più utilizzato dagli attaccanti;
Poste, Unicredit, BPM, MPS, BPER e UbiBanca chiudono la panoramica dei brand sfruttate in campagne di phishing a tema Banking;
Enel è stato sfruttato con una campagna a tema Energia, annunciando all’utente vittima un falso rimborso di 133.32 euro per ricevere il quale era necessario inserire le credenziali delle carte di credito, ovviamente sottratte immediatamente dagli attaccanti;
INPS invece è stato un sfruttato in una campagna di phishing finalizzata al furto di dati anagrafici e estremi delle carte di credito tramite un dominio registrato in Russia;
Microsoft, Outlook, Amazon e Tim chiudono il quadro delle campagne. Questi brand sono stati sfruttati in campagne contenenti false comunicazioni afferenti ai vari brand finalizzate al furto delle credenziali di accesso ai servizi relativi. Alcune di queste campagne sono state diffuse anche via SMS

Tipologia di file di attacco
Per quanto riguarda i formati degli allegati vettore, si conferma il boom di utilizzo del formato archivio .ZIP, seguito dal formato .ACE. Torna, dopo molto tempo, l’uso del formato documento Rich Text Format RTF.
Pubblicato da s-mart Informa a 12:05 Invia tramite emailPostalo sul blogCondividi su TwitterCondividi su FacebookCondividi su Pinterest

01[1]

Strumenti legittimi usati a fini di cybercrime: BitLocker di Windows usato come ransomware

mercoledì 3 marzo 2021
Strumenti legittimi usati a fini di cybercrime: BitLocker di Windows usato come ransomware

Partiamo da un punto: non è una novità e anzi, i primi utilizzi illegittimi di BitLocker risalgono al 2015. Non è una novità neppure l’uso di tool e strumenti legittimi a fini illegittimi: l’esempio più facile ce lo fornisce la parabola dei miner di criptovalute che hanno debuttato come strumento legittimo per poi venire vietati dalla maggior parte degli app Store e bloccati dai browser più popolari a causa del dilagante impiego a finalità illegali.

Torniamo sul punto perché, ma neppure questa è una novità, una minaccia già conosciuta da anni torna a colpire in Italia e, viste le richieste di supporto ricevute in questi giorni (che sia in atto una campagna mirata contro utenti italiani?), è utile rinfrescare la memoria.

BitLocker: cosa è, a cosa serve
Partiamo dall’origine: BitLocker è la soluzione di criptazione che Microsoft ha integrato in Windows come forma estrema di protezione dei dati da accessi illegittimi. BitLocker consente infatti di criptare singole partizioni, volumi interi o unità: se all’avvio del sistema operativo o all’accesso al drive criptato l’utente non fornisce la password di criptazione, i file non saranno visibili.

NB: parliamo di BitLocker, ma le stesse tematiche affliggono tutti i tool simili. Uno molto popolare, in questo caso opensource, ma che ha le stesse funzionalità, è DiskCryptor.

BitLocker usato a “mò di ransomware”
La logica è chiara: se la criptazione viene effettuata illegittimamente da un soggetto terzo che ha avuto accesso al dispositivo o alla rete, l’utente non avrà a disposizione la password. Su questo presupposto un attaccante può basare l’estorsione, secondo la più classica delle modalità: se vuoi tornare in possesso dei tuoi file (ovvero ricevere la password e/o la chiave di criptazione privata) paga un riscatto, altrimenti cancelleremo i tuoi file.

Un server bloccato dall’uso illegittimo di BitLocker

Questo, in forma breve, il contenuto della nota di riscatto che comunemente viene rilasciata da chi utilizza BitLocker come un ransomware. Nella foto sotto è possibile vedere tale richiesta, presentata qualche giorno fa ad un nostro assistito, in lingua italiana:

Insomma, siamo di fronte ad un’infezione ransomware in piena regola senza però l’utilizzo di alcun ransomware, fatto che porta un grande vantaggio all’attaccante: essendo BitLocker uno strumento legittimo, è molto probabile che ne gli strumenti anti malware e anti ransomware di Windows e di altre soluzioni di sicurezza saranno in grado di individuare e bloccare la minaccia. Le soluzioni di sicurezza infatti non ravviseranno alcun segnale di attacco, quindi non interverranno ne a sospendere l’attività di BitLocker ne ad allertare l’utente. Basterà eseguire codice dannoso, magari sfruttando vulnerabilità presenti in altri software, per usare l’utilità di sistema manage-bde di BitLocker da riga di comando per cifrare i dati degli utenti.

Bersaglio prediletto di questo tipo di attacchi sembrano essere i server Windows, acceduti illegittimamente via RDP.

Ospedale belga subisce la criptazione con BitLocker
Recentemente ha avuto un certo risalto l’attacco ransomware subito verso la fine di Gennaio dalla struttura ospedaliera bela CHwapi: 40 i server criptati, 100 TB di dati criptati usando solo BitLocker di Windows. Un danno di proporzioni tali da aver paralizzato l’infrastruttura IT dell’ospedale e costretto temporaneamente la direzione a spostare i pazienti verso altri ospedali e cancellare le operazioni chirurgiche fissate.

In ogni cartella criptata è stata lasciata una nota di riscatto, nella quale la direzione ospedaliera viene invitata a contattare via Bitmessage gli attaccanti per decriptare i file.

01[1]

Ransomware Avaddon: uno studente pubblica tool per la decriptazione gratuita e gli attaccanti lo usano per correggere la falla e diffondere (anche in Italia) una versione migliorata del malware

mercoledì 24 febbraio 2021
Ransomware Avaddon: uno studente pubblica tool per la decriptazione gratuita e gli attaccanti lo usano per correggere la falla e diffondere (anche in Italia) una versione migliorata del malware

Stiamo ricevendo alcune richieste di supporto per decriptare file criptati dall’infezione ransomware Avaddon: alcune richieste provengono anche da utenti italiani, segno che la campagna ransomware è attiva anche nel nostro paese. Se la prima versione del ransomware risulta risolvibile senza pagare il riscatto ai cybercriminali, la nuova versione circolante non è ad ora risolvibile perchè la falla che permetteva di risolvere la prima versione è stata corretta studiando il tool di decriptazione che uno studente spagnolo ha messo, gratuitamente e in buona fede, a disposizione di tutte le vittime. Evento che apre una amara riflessione su come, talvolta, gli esperti di cyber security più che di ostacolo al cybercrime ne divengano (involontariamente) complici. Forse è possibile gestire in maniera migliore tali situazioni, aiutando le vittime senza dettagliare pubblicamente la soluzione tecnica?

Avaddon in breve
Avaddon è una RaaS che ha debuttato sulle scene del cybercrime nei primi mesi del 2020: inizialmente non ha impensierito molto poiché presentava una bassissima attività, ma questa è andata piano piano incrementando grazie al suo Programma di affiliazione. Avaddon è, come ormai va di moda nel mondo dei ransomware, un servizio tramite il quale un team di sviluppatori mette in affitto il codice del malware, tool e strumenti di gestione / analisi ad una serie di affiliati: gli affiliati si occupano della distribuzione del ransomware e versano una commissione su quanto guadagnato tramite i riscatti ai gestori del servizio. Da questo punto di vista Avaddon è così organizzato da disporre pure di una pagina di supporto alle vittime dove sono fornite ulteriori e indicazioni per utenti poco esperti

La pagina di supporto vittime di Avaddon

Ad ora sono circolanti due diverse versioni:

prima versione con estensione di criptazione .avdn
seconda versione con estensioni di criptazione variabili. Ad esempio .adDECCCaEe; .baaCEdCdBb ecc…

Avaddon è dotato di funzionalità di esfiltrazione delle informazioni, secondo il nuovo modello di attacco seguito dai gruppi ransomware: rubare i dati prima di criptarli rende possibile richiedere un duplice riscatto, uno per riportare in chiaro i file e l’altro per evitarne la pubblicazione. Il gruppo Avaddon ha infatti un proprio sito di leak che altro non è che un blog nel circuito tor .onion. La richiesta di riscatto, rinominata readme.txt e visibile sotto, rende chiaro alla vittima che non è stato compromesso un solo PC: Avaddon mira a dilagare nella rete per infettare tutti i dispositivi e gli host che vi trova collegati.
La nota di riscatto di Avaddon

Comunemente a molti ransomware, Avaddon esegue verifiche di sistema prima della criptazione: tra queste esegue verifiche sulle impostazioni di Windows e della tastiera per escludere utenti russi, tatari, ucraini, armeni, moldavi ecc…

Una volta che il payload viene eseguito, avviene la criptazione di:

File di programma (x86) \ Microsoft \ Exchange Server
Programmi \ Microsoft SQL Server
Programmi \ Microsoft \ Exchange Server
Programmi (x86) \ Microsoft SQL Server

per poi passare la resto di file e alle condivisioni di rete. Esegue il delete del Shadow Copy, quel servizio di Windows che consente il ripristino dei file tramite backup / copia di uno specifico volume: nei fatti è una tecnica che impedisce il ripristino del sistema e dei file a meno che la vittima non disponga di un backup su storage diversi dal dispositivo criptato.

L’autogol: il tool gratuito che ha aiutato i cybercriminali a blindare il ransomware
Martedì scorso Javier Yuste, dottorando alla Rey Juan Carlos University di Madrid, ha pubblicato sulla propria pagina GitHub un decryptor gratuito e un documento di analisi della falla individuata nel codice del ransomware e sfruttata per “forzare” la criptazione.

Secondo le ricerche di Yuste, al momento di criptare un dispositivo, Avaddon crea una chiave unica AES256 per la sessione di criptazione, necessaria sia per criptare che decriptare i file. Un difetto nel meccanismo con cui il ransomware cancella questa chiave ha permesso a Yuste di programmare un tool capace di recuperarla dalla memoria fintanto che il computer non è stato spento dopo la criptazione.

Una descrizione della falla così dettagliata come quella contenuta nel report di Yuste ha permesso però agli sviluppatori del ransomware (che evidentemente leggono le nostre stesse notizie e pagine GitHub) di risolvere la falla in meno di 24h: tanto è stato il tempo intercorso tra la pubblicazione di Yuste e quella della nuova versione del ransomware, riveduta e corretta, nel portale dei cybercriminali e nei forum di hacking dove il servizio è pubblicizzato.

“Nessun decryptor e nemmeno tanta attenzione concentrata su di noi potranno fermarci. Al contrario abbiamo analizzato la situazione, individuato i punti deboli e trovato una soluzione. […] Abbiamo già implementato una soluzione al problema, soluzione che renderà impossibile la decriptazione con strumenti di terze parti” hanno fatto sapere gli sviluppatori in un post postato su alcuni forum.

Non solo, da “buoni businessman” quali sono diventati, gli sviluppatori del ransomware hanno deciso di compensare gli affiliati per i mancati guadagni da quelle vittime che hanno potuto usare il tool di Yuste: la quota di guadagni destinata agli affiliati è stata aumentata all’80%, dal precedente 65-75% (a seconda del numero di vittime che un affiliati riesce a generare).

01+28129[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 26 febbraio 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 19/02
Il CERT-AgID ha individuato e analizzato 35 campagne dannose attive: 5 sono state campagne generiche veicolate anche in Italia, 30 invece hanno bersagliato direttamente utenti italiani. Ben 288 sono stati gli indicatori di compromissione (IoC) messi a disposizione dal CERT.

Sono ben 8 le famiglie di malware individuate in diffusione nell’ambito di queste campagne: nello specifico

Qakbot è stato il malware più diffuso con 5 diverse campagne: di queste una era generica, 4 invece mirate contro utenti italiani. Gli allegati vettore erano di tipo .ZIP contenenti, a loro volta, file .XLS con macro;
AgenTesla si piazza al secondo posto, individuato con ben 3 campagne a tema Pagamenti: gli allegati vettore utilizzati sono di tipo .DOCX, .TGZ, .ZIP;
Formbook è stato individuato con due diverse campagne italiane a tema “Pagamenti” tramite allegati .ZIP e .ISO.
Dridex è stato in diffusione con una sola campagna generica a tema Delivery che ha riguardato anche l’Italia: gli allegati dannosi erano in formato .XLS;
Ursnif è stato invece diffuso con una campagna mirata contro utenti italiani a tema Energia, tramite allegati compromessi .XLSM;
Avemaria torna invece attivo dopo 20 giorni di assoluto silenzio: torna in diffusione con una campana a tema delivery con allegati in formato archivio .7Z;
anche Remcos ricompare dopo un periodo di stop piuttosto lungo: dopo circa 3 mesi di inattività torna in diffusione, tramite allegato .LZ, con una campagna a tema Pagamenti.

Le campagne di phishing della settimana 19/02

Le campagne di phishing analizzate hanno coinvolto 14 diversi brand: il settore bancario si conferma di nuovo quello più colpito, ma si assiste ormai a una crescita costante delle campagne a tema PA e i settori Delivery, Finanziario e Assicurativo.

IntesaSanPaolo si conferma, tristemente, al primo posto dei brand più sfruttati per il tema Banking;
Poste Italiane, BNL, Unicredit, Findomestic chiudono il panorama delle campagne a tema Banking;
UniPol SAI si conferma come il brand più sfruttato per il tema Assicurazioni;
BRT e TNT invece sono i brand più sfruttati per il tema Delivery. Le campagne che hanno sfruttato questi marchi hanno visto l’uso non solo di false comunicazione email, ma anche di falsi SMS: scopo delle campagne è quello di indirizzare gli utenti verso pagine fake tramite le quali rubare i dati delle carte di credito;
Microsoft, OneDrive, Amazon, Tim sono stati sfruttati sia in campagne di phishing che di smishing finalizzate al furto delle credenziali dei relativi servizi;
Agenzia delle Entrate è stata sfruttata nell’ambito di una campagna piuttosto insidiosa che prometteva un rimborso di 136,99 euro da parte dell’Agenzia stessa. Per “ricevere il rimborso” l’utente viene invitato a compilare un form che, guarda caso, prevedeva anche l’inserimento dei dati della carta di credito e del CVV, oltre che quello dei dati generici;
chiude la lista dei brand Aruba, sfruttata in una campagna a tema pagamenti che reindirizzava l’utente verso una pagina fake di pagamento per il presunto rinnovo del servizio.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Per quanto riguarda i formati degli allegati vettore, si registra il boom di archivi in formato .ZIP. Seguono al secondo posto file in formato .exe e .xls., quindi i file .xlsm.
Fonte: https://cert-agid.gov.it/

01+28129[1]

Scoperta nuova variante del malware MassLogger: è già in diffusione in Italia

giovedì 25 febbraio 2021
Scoperta nuova variante del malware MassLogger: è già in diffusione in Italia

MassLogger è un malware piuttosto conosciuto nel mondo della cybersecurity italiana: è uno dei malware che, a cadenza piuttosto regolare, viene diffuso con campagne di phishing e spam ad hoc contro utenti italiani. La sua diffusione è così ricorrente e preoccupante da aver indotto il CERT-AGiD ad analizzare e scrivere un report / alert su questa minaccia.

Ora MassLogger, che ricordiamo è un malware infostealer finalizzato al furto di credenziali, è in diffusione con una nuova versione che ha ampliato le funzionalità del malware originario ed è capace di rubare credenziali da app di messaggistica, MS Outlook e Google Chrome e altri applicativi.

La nuova versione è già in uso in the wild, individuata nell’ambito di una campagna di phishing generica che ha colpito utenti in Turchia, Spagna, Russia, Lituania e Italia. La campagna è attiva, con alti e bassi, da metà Gennaio 2021 circa.

Individuata dai ricercatori di Cisco Talos, la nuova versione del trojan per utenti Windows usa un file HTML compilato: è da questo file .html che si origina la catena di infezione. Questo formato è tipicamente usato per il file Windows Help, tuttavia può contenere script attivi, come nel caso dei Javascript che lanciano operazioni malware.

Stando al report di Cisco Talos, gli operatori del malware usano un approccio multi modulare in questa campagna sin dal primo step, ovvero l’email di phishing. Questo approccio aiuta gli attaccanti ad eludere il rilevamento da parte delle soluzioni di sicurezza, ma è un’arma a doppio taglio: chi difende una rete sotto attacco con queste modalità avrà a disposizione molteplici opportunità per interrompere la catena di infezione, cercando di terminare i processi responsabili dei diversi stadi dell’attacco.
Fonte: Cisco Talos

L’email vettore che ha colpito gli utenti spagnoli, ad esempio, contiene un allegato email integrato con codice Javascript offuscato per creare una pagina HTML. La pagina HTML, a sua volta, contiene un PowerShell che stabilisce una connessione con un server legittimo che recupera il loader per avviare il payload di MassLogger.

Nella versione attuale, MassLogger è capace di esfiltrare dati tramite FTP, SMTP o HTTP ma c’è anche una funzionalità aggiuntiva per il furto di client di messaggistica Pidgin, NordVPN, Discord, ThunderBird, Firefox, QQ Browser, Chrome, Edge, Brave e Opera.

La particolarità è invece che, nonostante MassLogger sia da sempre dotato di funzionalità di keylogging, queste risultano disabilitate nella campagna presente.

01[1]

Ascesa e caduta del ransomware Egregor: in arresto il team di sviluppatori e gestori

lunedì 15 febbraio 2021
Ascesa e caduta del ransomware Egregor: in arresto il team di sviluppatori e gestori

E’ con un’operazione congiunta tra le forze dell’ordine ucraine e francesi che è stata sgominata la banda di cyber attaccanti responsabile dell’operazione ransomware Egregor: sono finiti in carcere non tutti, ma la maggior parte dei membri della gang. L’operazione nasce grazie al tracciamento, da parte della Polizia francese, di alcuni riscatti pagati ad individui che sono poi risultati localizzati in Ucraina. In manette, come detto, non soltanto gli sviluppatori del ransomware, ma anche persone che hanno fornito supporto logistico e finanziario. L’operazione scaturisce da una indagine aperta lo scorso Autunno dal Tribunale di grande istanza di Parigi in seguito a molteplici denunce ricevute sulla gang ransomware di Egregor, che in effetti ha duramente colpito aziende francesi.

Non che la notizia di arresti di questo tipo sia isolata: alcune volte i cyber criminali si tradiscono, sbagliano qualcosa, finiscono rintracciati. Questi arresti però fanno notizia perchè Egregor non solo era atteso come “top ransomware”, ma anche perchè nel suo (breve) periodo di attività ha messo a segno colpi di peso come l’attacco ad Ubisoft o, più recentemente, contro Gefko.

Per approfondire > Anatomia di Egregor, il nuovo top ransomware (che ha già colpito in Italia)

Egregor: ascesa e caduta
La comparsa di Egregor aveva, a suo tempo, messo in forte allarme ricercatori ed esperti di cybersecurity che, addirittura, arrivarono a definirlo come il successore del temibilissimo ransomware Maze. Proprio i legami con Maze portarono l’FBI a diramare uno specifico alert su Egregor il quale, già alla sua prima comparsa, potè contare sull’intera rete di affiliati di Maze transitati in massa al nuovo RaaS.

Per approfondire > Una buona notizia: il ransomware Maze cessa le operazioni

Egregor infatti opera(va) come un RaaS (ransomware as a service) dove gli affiliati collaborano direttamente con gli sviluppatori per diffondere il ransomware e suddividere poi i proventi dei riscatti. In collaborazioni come queste, solitamente, gli sviluppatori mettono a disposizione il ransomware e il sito di pagamento, gli affiliati invece si occupano di distribuire il ransomware irrompendo nelle reti e nelle macchine bersaglio. L’accordo tra gli sviluppatori di Egregor e i suoi affiliati prevedeva che il 20-30% del totale di un riscatto andasse agli sviluppatori, il restante agli affiliati.

Le cose sono inizialmente andate molto bene per i gestori del RaaS, tantoché sono anche state siglate collaborazioni di un certo peso, come quella stretta a Novembre col malware Qbot: grazie a questo accordo gli affiliati poterono sfruttare le reti già infettate grazie all’apposita backdoor che Qbot lascia su ogni sistema violato. Ne conseguì un consistente aumento del volume degli attacchi in pochissimo tempo, al punto tale da obbligare i gestori a organizzare una vera e propria fila per poter gestire i negoziati per il pagamento del riscatto tanto alto era il numero delle vittime.

E’ stato poi all’inizio di Dicembre 2020 che Egregor ha improvvisamente registrato una battuta di arresto, conducendo molti meno attacchi: calo degli attacchi confermato anche da Coveware, società specializzata nella negoziazione con gruppi di cyber attaccanti. Coveware ha dichiarato di aver registrato un drastico calo di attacchi in quel periodo, dovuto, probabilmente, al fatto che una parte degli affiliati potrebbe aver scelto un altro RaaS. A Gennaio addirittura il sito di leak di Egregor, è stato offline per circa due settimane e, una volta tornato online, presentava bug e molti errori: questo fatto insolito ha portato altri autori di minacce ransomware a sospettare che Egregor fosse stato violato dalle forze dell’ordine.

Insomma, difficile dire se sia stata l’operazione delle forze dell’ordine a sgominare la gang di Egregor o se già il team “ci avesse messo del suo”, determinando una serie di alti e bassi che possono aver indotto un vero e proprio fuggi fuggi degli affiliati. In ogni caso, questa minaccia, che in pochi mesi ha fatto oltre 200 vittime, pare essere sgominata. Ed il bilancio delle operazioni delle forze dell’ordine chiuse con successo comincia a farsi interessante, considerando che poche settimane fa si è registrata un’altra vittima eccellente: la botnet Emotet.

01+28129[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 19 febbraio 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 12/02
Questa settimana il CERT-AGID ha individuato e analizzato circa 35 campagne dannose: di queste soltanto 3 sono state generiche, 32 invece quelle mirate contro utenti italiani. Record di indicatori di compromissione individuati, ben 774.

Sette sono state le famiglie di malware individuate, con poche novità, a parte il debutto del malware Kronos:

Formbook è stato, per la prima volta, il malware più diffuso. E’ stato in distribuzione con ben 5 diverse campagne tutte a tema Pagamenti e recanti allegati in formati .zip, .iso, .rar;
AgentTesla, veicolato con allegati in formato .gz e .zip, è stato in diffusione con 2 campagne entrambe a tema pagamenti;
Dridex è stato diffuso con due campagne a tema Pagamenti: una di queste campagne è stata mirata contro utenti italiani, l’altra invece era generica veicolata anche nello spazio italiano. Entrambe le campagne hanno visto l’uso di allegato .xlsm;
Ursnif è stato diffuso con due campagne a tema “Mise”, tramite allegati in formato archivio .zip o in formato .doc;
sLoad torna di nuovo in diffusione nel circuito PEC: il malware viene diffuso attraverso un file .zip con una doppia compressione. Su questa specifica campagna il CERT-AgID ha pubblicato una news specifica consultabile qui;
Kronos è stato individuato per la prima volta in diffusione in Italia, con una campagna a tema Pagamenti mirata contro utenti italiani: email e allegati sono scritti in italiano, il malware è diffuso tramite file .doc compromesso;
Qakbot è stato individuato in diffusione con una sola campagna e diffuso tramite allegati .xls. Ricordiamo che Qakbot è affiliato a molte gang ransomware ed è specializzato nella rivendita di accessi abusivi alle reti che riesce ad affittare. Per approfondire > Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate

Kronos in breve:
Kronos è un trojan bancario individuato per la prima volta in diffusione nel Luglio 2014: è finalizzato all’esfiltrazione e furto di credenziali bancarie e degli estremi delle carte di credito / debito. Nel tempo è stato dotato di meccanismi di elusione delle verifiche delle soluzioni antivirus e anti malware.
Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 12/02
Le campagne di phishing analizzate hanno visto il coinvolgimento di 12 brand. Nessuna novità da questo punto di vista: il settore più colpito resta quello bancario, Intesa San Paolo e Poste i brand più sfruttati. Ecco una breve lista:

Intesa San Paolo e Poste sono sul podio dei brand più sfruttati, usati in 4 campagne mirate a tema Banking;
Unicredit e Findomestic si piazzano la secondo posto, con campagne a tema Banking veciolate via SMS (smishing);
Microsoft è stata sfruttata in due diverse campagne per sottrarre credenziali dei servizi di posta;
altri brand sfruttati per campagne malevole, a tema vario, sono stati TIM, DHL, Zim, Outlook, WeTransfer, Weebly.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Per quanto riguarda i formati degli allegati vettore, questa settimana si registra il boom di archivi in formato .ZIP. Seguono al secondo posto gli allegati dannosi in formato .doc, quindi al terzo posto .exe, .rar. .xlsm e .iso
Fonte: https://cert-agid.gov.it/

01[1]

Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate

giovedì 18 febbraio 2021
Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate

Il report che la società di sicurezza KELA ha pubblicato qualche giorno fa accende i riflettori su un fenomeno che spesso resta in secondo piano: la rivendita di accessi alle reti violate sembra essere argomento sottovalutato rispetto alla vendita nel dark web di dati personali a fini di furto d’identità o di coppie di credenziali.

Rivendere gli accessi: il mercato delle reti violate
Il report parla di una organizzazione capillare, molto strutturata al punto da configurare, praticamente, una filiera: è la riconferma del fatto che il cybercrime si fa sempre più “professionale” e sempre meglio organizzato. La rappresentazione plastica di questo fenomeno, oltre alla nascita dei RaaS (Ransomware as a service) e dei MaaS (malware as a service) e la strutturazione sempre più avanzata del mercato di compravendita di accessi. Ora si può definitivamente parlare di un vero e proprio mercato in cui si vendono accessi alle reti.

Lo schema è questo: un gruppo di attaccanti riesce a violare, in qualche maniera, una rete. L’idea comune è che, ottenuto un accesso, l’attaccante prosegua nel suo intento portando attacchi più profondi e pesanti al fine di poter guadagnare monetizzando l’attività. La novità è che sempre più spesso gli attaccanti si fermano all’ottenimento dell’accesso alla rete e poi monetizzano direttamente quello, rivendendolo ad altri “colleghi”. Si profila quindi una filiera in cui alcuni cyber attaccanti si specializzano in violazione delle reti, mentre altri si specializzano in diffusione malware, furto dati e criptazione.

Il report di KELA analizza soltanto il 3 trimestre del 2020 ma fa una panoramica chiarissima: solo nei 3 forum specializzati in questo particolare tipo di “mercato” sono transitati accessi a oltre 250 reti compromesse. Se questi accessi fossero a listino, questo avrebbe il valore di circa 1,2 milioni di dollari. Alcuni accessi però non sono neppure a listino: alcuni di questi sono contrattati in privato, quindi il valore complessivo potrebbe essere più alto.

Che tipo di accessi sono venduti?
Dai dati emerge che la maggior parte degli accessi in vendita sfrutta due tipi di protocolli, ovvero l’RDP (Remote Desktop Protocol) e VPN (Virtual Private Network). Non solo: il ricorso massivo ai sistemi di accesso remoto a causa della pandemia Covid-19, spesso in forme improvvisate e poco sicure, ha avuto un effetto dirompente su questo mercato nero.

L’alleanza tea operatori malware & ransomware
Se la maggior parte degli accessi alle reti rivenduti sui forum dell’underground di hacking attiene a protocolli RD e VPN vulnerabili, c’è tutta una parte di mercato che invece avviene in trattativa privata, in accordo tra gruppi ransomware e malware: un accordo quasi professionale, suddiviso anche per competenze. E’ il mercato che si sviluppo tra gli operatori malware che violano le reti e condividono gli accessi a gruppi ransomware affiliati.

Un esempio tra tutti e la coppia TrickBot + Ryuk: i log delle attività su uno dei server usati dal trojan TrickBot nelle fasi post-compromissione di una rete mostrano come i suoi gestori distribuiscano il ransomware Ryuk nelle reti compromesse, fino a due settimane dopo l’accesso. In dettaglio, una volta compromessa la rete, gli attaccanti avviano una scansione in cerca di live system che hanno specifiche porte aperte e rubano gli hash delle password dai gruppi Admin. Vengono testati soprattutto servizi come FTP, SSH, SMB, Server SQL, desktop remoto perchè sono molto utili per spostarsi da un computer ad un altro lungo una rete. Gli attaccanti a questo punto profilano ogni macchina ed estraggono più informazioni possibili: mappano quindi la rete e , nei fatti, vi ottengono il controllo completo, potendo accedere a quanti più host possibili. A questo punto inizia la distribuzione del ransomware Ryuk a tutte le macchine accessibili.

01[1]

Avvelenare l’acqua sabotando un impianto di depurazione via TeamViewer: il grave episodio in Florida

mercoledì 10 febbraio 2021
Avvelenare l’acqua sabotando un impianto di depurazione via TeamViewer: il grave episodio in Florida

E’ una storia che sembra surreale, peccato che non lo è: anzi, è un precedente utile per capire come la cybersecurity non attenga più solo a cose “immateriali” come dati, foto, credenziali. Data la sempre maggiore interrelazione tra mondi digitale e reale, il confine tra i due mondi si è fatto talmente labile da divenire invisibile, al punto che ormai un cyber attacco rischia di avere effetti “materialissimi”, potendo perfino fare vittime.
Per quanto non sia la prima volta che accade, quanto successo in Florida sta facendo il giro del mondo: un attaccante è riuscito ad avere accesso al sistema di depurazione dell’acqua della città di Oldsmar in Florida e tentato di incrementare la concentrazione dell’idrossido di sodio (NaOH), meglio conosciuto come soda caustica, nell’acqua trattata. L’idrossido di sodio è comunemente presente in molti detergenti per la casa, ma diviene estremamente pericoloso se ingestito in alte concentrazioni. In basse concentrazioni è usato negli impianti di depurazione dell’acqua per regolarne l’acidità (PH) e rimuovere metalli pesanti.

L’attacco è avvenuto lo scorso Venerdì intorno alle 1.30 della notte, ora locale: l’attaccante ha ottenuto l’accesso e preso il controllo del pc di uno degli impiegati dell’impianto usando TeamViewer: questo quanto dichiarato all’agenzia di stampa Reuters dallo Sceriffo della città Bob Gualtieri. Uno degli operatori dell’impianto ha raccontato di aver visto qualcuno prendere il controllo del mouse del suo pc e usarlo per effettuare alcuni cambiamenti nel software che regola le funzioni del depuratore cittadino. L’intruso è riuscito a rimanere nel sistema dai 3 ai 5 minuti, portando il livello di soda caustica nell’acqua da 100 parti al milione a 11.100 parti per milione. La tragedia è stata evitata dall’operatore stesso, che ha immediatamente annullato le operazioni compiute e poi interrotto l’accesso remoto al sistema.

Eric Seidel, sindaco della città, ha affermato che il sistema di trattamento delle acque cittadino è stato pensato con sistemi di ridondanza che avrebbero immediatamente dato l’allarme se i livelli dei componenti chimici nell’acqua avessero raggiunto davvero livelli pericolosi per la salute dei cittadini e degli animali. Ciò non toglie la pericolosità dell’evento e anche il rischio che un eventuale accesso “più profondo” nell’infrastruttura di gestione della rete idrica potrebbe mettere in condizione un attaccante di sabotare anche i meccanismi di controllo. Da parte sua lo Sceriffo Gualtieri ha fatto sapere che non ci sono stati arresti in seguito al cyber attacco, dato che non ci sono informazioni sull’attaccante e non si è ad ora neppure riusciti a ricostruire se l’attacco sia originato dagli Stati Uniti stessi o dall’esterno: motivo per il quale è entrata in campo direttamente l’FBI.

Attaccanti dilettanti e misure di sicurezza
Partiamo da un’evidenza: rispetto alle complicatissime tecniche di attacco alle quali siamo solitamente abituati, questo episodio è da inserirsi nella lista, purtroppo crescente, di quei tentativi di attacco remoto contro sistemi di controllo industriale da parte di attaccanti con basse competenze e poche skills di hacking. Il numero di incidenti di questo tipo è un crescita nell’ultimo anno, stando ai numeri pubblicati dal team Mandiant Threat Intelligence (MTI).

“Molte delle vittime di questi attacchi sembrano scelte a caso, tra piccoli proprietari di infrastrutture critiche e operatori che servono una popolazione limitata. Questa tipologia di attaccanti, attraverso l’interazione remota con i sistemi di controlli industriale, si impegna in operazioni a impatto limitato, spesso manipolando le variabili dei processi fisici. In nessuno dei casi precedenti ci sono stati danni a persone o infrastrutture, perché i processi industriali sono monitorati da ingegneri professionisti che conoscono perfettamente e sanno implementare meccanismi di sicurezza per prevenire modifiche impreviste” dichiarano da MTI.

La domanda è, però, cosa potrebbe accadere se un attacco di questo genere venisse portato da gruppi di cybercriminali esperti o sponsorizzati da governi avversi. I meccanismi di difesa e ridondanza sarebbero sufficienti?

Impianti di trattamento dell’acqua sotto attacco
Negli ultimi 20 anni attacchi agli impianti di trattamen
to dell’acqua sono accaduti già alcune volte: nel 2000 un impianto di trattamento delle acque reflue in Australia è stato attaccato creando rischi per la pubblica incolumità. In quel caso era stato un dipendente scontento ad utilizzare equipaggiamento rubato per accedere illegittimamente al controller SCADA e rilasciare 800.000 litri di acque reflue non trattate in due importanti corsi d’acqua locali.

Nel 2011 un gruppo di cyber attaccanti che si autodefinisce “prof” ha pubblicato alcuni screenshot dimostrando l’accesso all’impianto di trattamento delle acque reflue nel South Houston in seguito al blocco delle pompe dell’acqua, nei fatti rivendicando il malfunzionamento.

Nel report Data Breach Digest 2016 di Verizon non si fanno nomi, ma spunta un ennesimo attacco di questo tipo: un gruppo di cyber attivisti è riuscito ad avere accesso ai sistemi di una grande azienda di fornitura e depurazione delle acque sfruttando vulnerabilità di software e hardware obsoleti.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy